云原生培训课程大纲（选修）-曙海培训中心

云原生培训课程大纲（选修）

专题划分

专题一：云原生基础与容器技术
专题二：Kubernetes核心概念与架构
专题三：Kubernetes工作负载与调度
专题四：Kubernetes网络与存储
专题五：Kubernetes安全与运维
专题六：微服务架构与Spring Cloud
专题七：服务网格（Istio）实践
专题八：DevOps与CI/CD流水线
专题九：可观测性（监控/日志/追踪）
专题十：云原生存储与数据
专题十一：无服务器（Serverless）技术
专题十二：云原生安全与治理

专题一：云原生基础与容器技术

1. 云原生定义与核心理念：CNCF定义、不可变基础设施、声明式API

2. 云原生技术体系全景：容器、编排、微服务、服务网格、DevOps、Serverless

3. 容器技术原理：Namespace、Cgroups、UnionFS、容器运行时（containerd/runc）

4. Docker基础：镜像、容器、仓库、Dockerfile编写最佳实践

5. 容器镜像构建优化：多阶段构建、基础镜像选择、层缓存利用

6. 容器网络基础：Bridge、Host、Overlay网络模式

7. 容器存储基础：数据卷、绑定挂载、临时存储

8. 容器化应用改造：12要素应用、配置外化、日志处理

9. 容器镜像仓库管理：Harbor部署、镜像同步、安全扫描

10. 容器运行时安全：非root运行、只读文件系统、资源限制

11. Docker Compose多容器编排：服务定义、依赖管理、环境变量

12. 综合实战：将传统应用容器化并部署到Docker环境

专题二：Kubernetes核心概念与架构

1. Kubernetes起源与设计哲学：Borg经验、声明式API、控制器模式

2. Kubernetes架构解析：Master组件（API Server、Scheduler、Controller Manager、etcd）

3. Node组件：kubelet、kube-proxy、容器运行时

4. API Server核心功能：认证、授权、准入控制、API聚合

5. etcd数据存储：raft一致性、数据备份与恢复

6. 核心资源对象：Pod、Service、Volume、Namespace

7. Pod详解：Pod设计理念、容器共享网络/IPC/PID、静态Pod

8. 控制器模式：ReplicaSet、Deployment、StatefulSet、DaemonSet、Job/CronJob

9. 服务发现与负载均衡：Service类型（ClusterIP/NodePort/LoadBalancer）、Endpoint

10. Ingress控制器：HTTP路由、TLS termination、七层负载均衡

11. 配置管理：ConfigMap、Secret、环境变量注入

12. 综合实战：搭建K8s集群（kubeadm/minikube）并部署第一个应用

专题三：Kubernetes工作负载与调度

1. Deployment设计原理：滚动更新、回滚、副本管理、暂停/恢复

2. StatefulSet有状态应用管理：有序部署、稳定网络标识、持久化存储

3. DaemonSet守护进程应用：节点亲和性、默认调度、滚动更新

4. Job与CronJob批处理任务：并行度、重试策略、TTL控制

5. HPA（水平自动伸缩）：基于CPU/内存/自定义指标

6. VPA（垂直自动伸缩）：资源推荐、自动调整requests/limits

7. 调度器工作原理：调度策略、预选/优选算法、自定义调度器

8. 节点亲和性（nodeAffinity）与反亲和性（podAntiAffinity）

9. 污点（Taints）与容忍度（Tolerations）：节点独占、特殊负载调度

10. 资源质量管理：requests/limits、服务质量（Guaranteed/Burstable/BestEffort）

11. Pod优先级与抢占：PriorityClass、抢占策略

12. 综合实战：部署一个有状态应用并配置HPA

专题四：Kubernetes网络与存储

1. Kubernetes网络模型：每个Pod一个IP、Pod间直接通信

2. CNI（容器网络接口）原理：网络插件工作机制

3. 主流CNI插件对比：Flannel（overlay）、Calico（BGP）、Cilium（eBPF）

4. Service底层实现：iptables、IPVS模式对比与配置

5. Ingress控制器选型：Nginx Ingress、Traefik、Contour

6. 网络策略（NetworkPolicy）配置：入站/出站规则、标签选择器

7. 多集群网络方案：Submariner、Cilium Cluster Mesh

8. 存储卷（Volume）基础：emptyDir、hostPath、configMap/secret

9. PV/PVC体系：静态供给、动态供给、存储类（StorageClass）

10. 常用存储插件：NFS、Ceph RBD、iSCSI、云存储（EBS/PD）

11. CSI（容器存储接口）原理与驱动示例

12. 综合实战：配置NetworkPolicy和PVC动态供给

专题五：Kubernetes安全与运维

1. Kubernetes安全架构：RBAC、准入控制、安全上下文

2. 认证与授权：ServiceAccount、用户证书、RBAC角色绑定

3. 安全上下文（SecurityContext）：容器用户、特权模式、能力管理

4. Pod安全策略（PSP/PodSecurity）与OPA Gatekeeper

5. 镜像安全：镜像扫描、签名验证（Notary/Cosign）

6. 运行时安全：Falco异常行为检测、Seccomp/AppArmor配置

7. etcd安全：加密传输、访问控制、备份恢复

8. Kubernetes审计日志：配置、采集、分析

9. 集群升级策略：版本兼容性、升级顺序、回滚方案

10. 备份与容灾：Velero备份/恢复、etcd备份、应用迁移

11. 资源监控与告警：Metrics Server、Prometheus集成

12. 综合实战：配置RBAC与Pod安全策略

专题六：微服务架构与Spring Cloud

1. 微服务设计原则：单一职责、自治性、去中心化、基础设施自动化

2. 微服务拆分策略：领域驱动设计（DDD）、限界上下文

3. Spring Cloud生态概览：服务注册发现、配置中心、网关、熔断

4. 服务注册与发现：Eureka/Nacos原理、客户端负载均衡（Ribbon）

5. 远程调用：OpenFeign声明式客户端、重试机制

6. 网关路由：Spring Cloud Gateway、断言与过滤器

7. 配置中心：Spring Cloud Config、Nacos配置管理

8. 服务容错：Sentinel/Hystrix熔断降级、限流配置

9. 分布式事务：Seata AT模式、TCC模式

10. 链路追踪：Sleuth + Zipkin/SkyWalking集成

11. 微服务部署模式：单体Jar、容器化、K8s部署

12. 综合实战：基于Spring Cloud Alibaba构建微服务系统

专题七：服务网格（Istio）实践

1. 服务网格定义与价值：透明代理、流量管理、可观测性、安全

2. Istio架构解析：数据平面（Envoy）、控制平面（Pilot、Mixer、Citadel）

3. Envoy代理原理：xDS协议、过滤器链、动态配置

4. Istio安装与配置：Profile选择、sidecar注入、多集群部署

5. 流量管理：VirtualService、DestinationRule、Gateway配置

6. 高级路由策略：金丝雀发布、A/B测试、蓝绿部署

7. 超时、重试、熔断配置：流量治理最佳实践

8. 可观测性集成：Prometheus指标、Grafana仪表盘、Kiali拓扑

9. 分布式追踪：Jaeger集成、请求级追踪

10. 安全能力：mTLS自动加密、授权策略（AuthorizationPolicy）

11. 多集群网格：跨集群服务发现、流量镜像

12. 综合实战：在K8s上部署Istio并实现金丝雀发布

专题八：DevOps与CI/CD流水线

1. DevOps核心理念：文化、自动化、度量、共享

2. CI/CD基础：持续集成、持续交付、持续部署的区别

3. 版本控制与分支策略：GitFlow、GitHub Flow、Trunk Based

4. 代码仓库管理：GitLab/GitHub企业版、Webhook配置

5. 持续集成工具：Jenkins架构、Pipeline（声明式/脚本式）

6. Jenkins与K8s集成：动态Agent、Kubernetes Plugin

7. 制品管理：Nexus/Harbor、版本管理、清理策略

8. 持续部署策略：蓝绿部署、金丝雀发布、滚动更新

9. GitOps实践：ArgoCD、Flux原理、声明式应用同步

10. 基础设施即代码（IaC）：Terraform、Crossplane

11. 配置即代码：Ansible、Helm Charts、Kustomize

12. 综合实战：基于Jenkins+ArgoCD构建CI/CD流水线

专题九：可观测性（监控/日志/追踪）

1. 可观测性三大支柱：指标、日志、追踪

2. Prometheus监控体系：Pull模型、数据模型、PromQL查询

3. Prometheus Operator：自动发现、规则配置、告警管理

4. Grafana可视化：仪表盘设计、数据源集成、告警配置

5. Loki日志聚合：轻量级日志存储、LogQL查询

6. Elasticsearch/Fluentd/Kibana（EFK）栈搭建

7. 分布式追踪标准：OpenTelemetry、Jaeger架构

8. SkyWalking应用性能监控：服务拓扑、性能分析

9. 业务可观测性：业务指标埋点、SLO监控

10. 统一可观测性平台：Thanos、Cortex、Grafana Mimir

11. 告警管理：Alertmanager路由、抑制、静默

12. 综合实战：构建完整的监控+日志+追踪体系

专题十：云原生存储与数据

1. 云原生存储挑战：持久化、性能、数据一致性

2. 存储分类：块存储、文件存储、对象存储

3. CSI驱动机制：接口规范、动态供给、快照/克隆

4. 常用存储解决方案：Rook/Ceph、Longhorn、OpenEBS

5. 有状态应用数据管理：StatefulSet与PVC模板

6. 数据库容器化实践：MySQL、PostgreSQL、MongoDB Operator

7. 消息队列容器化：Kafka on K8s（Strimzi）、RabbitMQ Operator

8. 缓存系统容器化：Redis集群（Operator方式）

9. 备份与恢复工具：Velero、Stash、Kasten K10

10. 数据迁移策略：异构迁移、跨集群同步

11. 云原生数据湖：JuiceFS、Alluxio

12. 综合实战：使用Operator部署MySQL集群并备份恢复

专题十一：无服务器（Serverless）技术

1. Serverless定义与价值：按需分配、弹性伸缩、零运维

2. FaaS（函数即服务）原理：事件触发、冷启动、运行时长

3. 主流FaaS平台：AWS Lambda、阿里云函数计算、腾讯云函数

4. Kubernetes原生Serverless：Knative Serving与Eventing

5. Knative Serving：Revision、Route、自动伸缩（KPA）

6. Knative Eventing：事件源、触发器、Broker

7. 开源FaaS框架：OpenFaaS、Fission、Kubeless对比

8. Serverless应用开发：函数编写、依赖管理、本地调试

9. BaaS（后端即服务）集成：数据库、存储、认证

10. Serverless与CI/CD集成：函数版本、灰度发布

11. 冷启动优化：预留实例、镜像预热、依赖精简

12. 综合实战：基于Knative部署无服务器应用

专题十二：云原生安全与治理

1. 云原生安全挑战：镜像安全、运行时安全、供应链安全

2. 安全左移：开发阶段安全、镜像扫描、代码审计

3. 容器镜像安全：漏洞扫描（Trivy/Clair）、签名（Cosign）

4. Kubernetes安全加固：API Server安全配置、etcd加密

5. 运行时安全：Falco威胁检测、Seccomp/AppArmor配置

6. 网络策略与零信任：服务间mTLS、细粒度授权

7. 云原生策略引擎：OPA（Open Policy Agent）、Gatekeeper

8. 合规性审计：CIS Benchmark、kube-bench、kube-hunter

9. 供应链安全：SBOM（软件物料清单）、可信构建

10. 多租户隔离：Namespace、资源配额、网络隔离

11. 云原生治理框架：FinOps成本管理、可观测性标准

12. 综合实战：基于OPA/Gatekeeper实现策略即代码